歐盟執委會(The EU Commission)於2022年2月3日發布了一項研究,其繪製並預估歐盟27個成員國以及冰島、挪威、瑞士和英國等國家彼此之間的主要雲端基礎設施的資料流量。該研究概述了各級產業、位置、企業規模和雲端服務類型的雲端資料流入和流出的流量和類型。政策、決策者、商業領袖與公共行政部門可以將其作為參考,以支持對未來貿易協定、工業決策和雲端投資的決策。
在歐盟的歐洲資料戰略中,認識到獲取有關資料流的經濟情報的戰略重要性,因此提出了資料流戰略分析框架的發展。為了實現這一關鍵行動,歐盟執委會開展了上述關於繪製資料流的研究,首次開發和測試了一種全新、自我維持與可複製的方法,從而產生了資料流可視化工具,用於測量、映射和分析歐洲31個國家與地區的各級產業、地理和企業規模的雲端資料流。而該資料流可視化工具中顯示的資料預計將每年更新一次。使用的資料收集來源從官方統計資料等主要來源到調查和訪談等次要來源。
該工具得以讓歐盟執委會:
一、繪製和估計歐盟27個成員國(即歐盟內部資料流)和冰島、挪威、瑞士和英國(即歐盟外資料流)的雲端計算領域主要資料流的數量
二、預測至2030年的資料流出
三、分析各產業、公司規模和雲端服務類型的資料流量
該研究顯示2020年最大的資料流來自醫療衛生產業,而德國的資料流入量最大。該報告還估計,到2030年,來自歐洲企業的資料流量將是2020年的15倍。
作為資料流市場關鍵層面之一,透過進一步調查資料趨勢,將協同即將出現的資訊法案打造一個更加生動、動態和流動的雲端市場。
加拿大領導廠商 ICTV ,在 NCTA 國家商展 (NCTA National Show) 中,帶來了加拿大在互動電視內容方面的最新科技展現。 ICTV 是著名產品 HeadendWare 的製造商,此產品是在寬頻產業中傳輸互動電視內容最強大的平台。此一平台目前已取得多家加拿大廠商的協力合約,將共同在此平台上發展遊戲、娛樂與資訊內容等將關服務。 ICTV 解決方案部門的主管表示,加拿大確實是在互動數位內容方面的技術領先國家,並且正持續吸引更多的廠商與其合作。確實,加拿大的科技產業在全球屬領先地位,過去國內廠商對於新科技的注意力,大都放在美國、歐洲及日韓等國,或許,對加拿大進行更深入的關心與瞭解,可以挖掘到更多的報寶藏。
新加坡物聯網產品網路安全防護之初探新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網(Internet of Things,簡稱IoT)產品蓬勃發展,伴隨著資通安全之威脅卻也日益加增,新加坡為此陸續訂定國內法規,以強化保障新加坡人民資訊流通之自由,並確立了網路安全標籤機制,藉以提高消費者對於物聯網產品資安的認識。另一方面,標籤制度能於消費者使用物聯網產品時,將產品受到不同層級之網路安全防護,或有別於一般用途使用等資訊,迅速傳達給消費者。據此,本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規,供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1](CSA),陸續為新加坡建立完善之物聯網產品網路安全防護機制,且新加坡於2018年訂定《網路安全法》[2],法案的第一部分已明示將「網路安全」列為實質保障內涵[3],並明訂須透過識別與分析威脅,以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性,首先於亞太地區推出物聯網產品等級評估機制,即新加坡網路安全標籤機制[4](Cybersecurity Labelling Scheme, CLS),致力於保障新加坡的網路空間,並使消費者能夠識別符合網路安全規定之物聯網產品,以利消費者辨認選購。此外,CLS架構下設有驗證中心、通用標準以及標籤分級等措施,以強化物聯網產品資安防護為目的,也能落實《網路安全法》保障新加坡網路安全之精神。 (一)設置網路安全驗證中心[5](Cybersecurity Certification Centre, CCC):為驗證資安相關產品與服務之權責機關,透過CSA建置的驗證標準,成為新加坡企業採用資安產品之參考依據。 (二)建立通用標準(Common Criteria, CC):最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出,以國際標準ISO/IEC 15408(Common Criteria for Information Technology Security Evaluation)作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認,資訊服務業者若經過相關驗證時,較易被新加坡企業採用。 (三)建立網路安全標籤機制(Cybersecurity Labelling Scheme, CLS):CSA針對智慧裝置推出網路安全標籤機制CLS,是以《網路安全法》做為上位精神而訂,但並不具強制力,而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級,使消費者能夠識別符合較高等級網路安全規定的產品,並做出明智的決定。CLS共可分為4個等級(Level 1~4),第1級為產品滿足相關之基本要求(如密碼要求、提供軟體更新);第2級為該產品係使用安全設計原則進行開發(如進行相關之威脅評估、審驗程序);第3級為該產品經過第三方測試實驗室評估;第4級則經過第三方實驗室之滲透測試。此外,值得注意的是,新加坡亦與德國、芬蘭簽署備忘錄,以相互承認,也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度(IT-Sicherheitskennzeichen)、芬蘭的網路安全標籤制度(Finnish Cybersecurity Label),可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安,透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制,針對物聯網產品資安進行不同層次的保障。此外,採「驗證」方式保障人民生活不受網路威脅侵害,同時提高消費者對於物聯網產品資安之意識,可謂一舉數得之作法。而我國於物聯網產品發展以來,有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章,以供企業或消費者識別,物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後,核發合格證書及資安標章,並依照資安風險高低及安全技術實現複雜度,區分三個等級(L1~L3),分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下,已推出6項產品系列之驗證[7],並且採消費者導向之標章,足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識;但此認驗證機制或有優化空間,今後可以參考新加坡作法,擴增可進行驗證的產品項目,持續提升保障消費者選購物聯網產品之資訊知悉權,同時可參酌國際上其他重點國家之風險評估方式,以系統性建置物聯網產品資安之風險評估通用標準,以確保該制度未來有機會被其他國家直接或間接承認,為國際接軌做準備,作為今後精進物聯網產品資安之目標,方可促使我國與國際產業鏈、海外市場逐步銜接,提升產業競爭力。 [1]新加坡網路安全局CSA(Cyber Security Agency),隸屬於總理辦公室(Prime Minister’s Office, PMO),由新加坡通訊暨新聞部(Ministry of Communications and Information)管理,https://www.csa.gov.sg/,(最後瀏覽日:2023/6/30)。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟(Mobile Application Security Alliance),關於我們〈推動架構〉,https://www.mas.org.tw/about/background,(最後瀏覽日:2023/6/30)。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟(Mobile Application Security Alliance),IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些?〉,https://www.mas.org.tw/iot/questAndAnswer,(最後瀏覽日:2023/6/30)。
歐盟行動健康服務(mHealth)眾人引頸期盼的下一步歐盟於2015年5月9日在拉脫維亞的里加舉辦了為期一週之「eHealth Week」研討會,包含由歐盟輪值理事會主辦之高階eHealth會議,以及由歐洲HIMSS (Healthcare Information and Management Systems Society)主辦之「WoHIT (World of Health IT Conference & Exhibition)」兩大活動,而2015歐洲mHealth高峰會為其中備受矚目的重要主題活動。該高峰會以推動歐洲mHealth進程之執行為領導思考核心,相關利害關係者(包括公部門、ICT產業、健康保健專業學者)於5月12日以mHealth綠皮書公眾諮詢結果為基礎,針對歐盟目前執行中以及未來可能採取之政策為討論,主要議題包括:1.所蒐集資料之隱私與安全保護。2.生活康樂型apps產品之安全性與品質管控。3.網路經營者對於mHealth市場之進入障礙。 針對資料之隱私與安全保護議題,公眾諮詢結果顯示,關鍵問題在於mHealth apps蒐集使用者資料是否有足夠的隱私與安全保障措施?與會者並認為此問題在資料的第三人再利用情形尤為重要。對此歐盟執委會表示將展開就mHealth apps訂定以產業為主導、範圍涵蓋資料隱私與安全性之行為守則,以建立使用者對mHealth apps之信任感,並提升app開發者對歐盟資料保護法規之遵法意識。 針對生活康樂型apps(包括健康照護相關app)產品之安全性與品質管控議題,透過與會者現場意見調查顯示,認為健康照護相關apps之安全性、品質與可靠性由於欠缺臨床佐證,導致就apps的目的與功效會有錯誤的宣示。值得注意的是,制定法規控管並非多數意見,大多數與會者認為以訂定指引或標準的方式,作為生活與康樂型apps的安全性與品質之依循方針較為妥適。對此歐盟執委會表示會持續跟進此議題並與相關利害關係者討論下一步之行動。 針對網路經營者進入歐盟mHealth市場議題,與會者認為網路經營者將面臨複雜的進入障礙,諸如歐盟相關法規架構的不清與零散、mHealth方案與設備的互通性與開放標準的欠缺等。歐盟執委會明確表示,支持網路經營者進入mHealth市場,目前歐盟正在進行的「Startup Europe」等相關倡議措施,即是以強化網路及資通訊業者商業環境為目的,提供網路經營者法規諮詢、投資媒合、商業模式育成等協助,以降低網路經營者所面對之市場進入門檻並有機會展現其新創能量。
Common sense並非 Obviousness的代名詞美國聯邦第二上訴巡迴法院於去年12月9日做出判決,維持先前佛羅里達州南區地方法院對於 Perfect Web Tech. 公司之專利第6,631,400號(以下簡稱專利400號)做出該專利無效之簡易裁決。第二上訴巡迴法院在 Perfect Web Technologies Inc. v. InfoUSA Inc. 一案中對於判斷一項專利的顯而易見性 (obviousness) 上,“常識”(common sense)所代表的意義做出解釋。 此案最初係由 Perfect Web Tech 控訴InfoUSA 侵害其所持專利400號,該專利為 “一種管理大批 (bulk) 電子郵件傳送到各不同鎖定目標的方法”。專利400號包含了4道程序,第一至第三道程序包含將大批的電子郵件寄送到一鎖定目標對象的群組,並計算當中寄送成功的數量。第四道程序則為重覆程序一至三,直到寄送成功的數量超過原設定的最低成功數量。對此InfoUSA向法院提出裁定專利400號無效的簡易裁決,而地方法院以 “程序一至三為先前技術 (prior art),程序四則僅為合乎邏輯的常識做法”而准予該請求並裁定專利400號無效。 第二上訴巡迴法院維持原判的理由在於專利400號不符合於KSR案中關於 “顯而易見性”的判斷原則。訴訟雙方皆同意程序一至三為先前技術,而法院認為程序四是 “常識”下的產物, “是一般人都顯然會去嘗試的結果”。Linn 法官更進一步指出像這樣的案子根本不需要專家證詞,只需用一般人的常識判斷即可。但是判決中亦同時聲明,若要援用 “常識”來判斷一項專利的顯而易見性,地院或專利審查官必須要能將判斷的依據解釋清楚以受公評。此判決結果意味著如果係爭的專利技術較為複雜,被告將必須要依賴有利的專家證詞以成功證實爭論的要點僅止於常識運用且具有顯而易見性。